2025年8月20日
目次
Close
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
「情報セキュリティ リスクアセスメントって何から始めればいいの?具体的に何をすればいいのかわからない」 このような疑問をお持ちではないでしょうか。
情報セキュリティに対する関心が高まるなか、情報セキュリティリスクアセスメントの実施を検討する企業が増えています。
しかし、リスクアセスメントの目的や具体的な進め方について、十分な理解がないままスタートすると、形骸化してしまい有効なセキュリティ対策に繋がらないことがあります。
この記事では、情報セキュリティリスクアセスメントの基本的な考え方から、具体的な実施手順、そして効果的な運用を継続するためのポイントまで、体系的に解説します。
最後までお読みいただくと、情報セキュリティリスクアセスメントに必要な知識が身につき、自社に最適な計画を立てられるようになります。
脅威から大切な情報を守り、ビジネスの信頼性を高める第一歩を踏み出してください。
1.情報セキュリティにおけるリスクアセスメントとは
情報セキュリティにおけるリスクアセスメントとは、簡単に言えば「どこにどんな情報に関するリスク(危険性)があるのかを見つけ出し、そのリスクの重大さや発生しやすさを評価し、優先的に対策すべきポイントを明らかにする作業」のことです。
これは、漠然とした「セキュリティ不安」を具体的な要素に分解し、「どのリスクから対策すべきか」を明確にするプロセスです。
例えば、以下のように考えてみましょう。
- 「顧客データ」という大切な情報資産がある。
- 「従業員のうっかりミス」で「誤送信」してしまうかもしれない(脅威)。
- その結果、「情報漏洩」が起こる可能性がある(脆弱性)。
- もし情報漏洩が起こったら、「会社の信用失墜」や「損害賠償」につながる(影響度)。
このように、情報資産に潜む脅威や弱点(脆弱性)を洗い出し、それが現実になった場合の発生しやすさや影響の大きさを評価することで、取るべき対策の優先順位が明確になります。
2.情報セキュリティリスクアセスメントの重要性
情報セキュリティリスクアセスメントの最大の目的は、「被害が起こる前にリスクを発見し、適切な対策を講じること」にあります。これは、トラブルが起きてから慌てて対応する「後手の対応」ではなく、「先手の備え」を可能にする、重要な取り組みです。
もしリスクアセスメントを実施しない場合、以下のような深刻な事態に直面する可能性があります。
サイバー攻撃による情報漏洩
顧客情報や機密情報が流出し、企業の信用が失墜し、多額の損害賠償を請求される。
実例:ぴあ株式会社(チケットぴあ)への不正アクセスによる情報漏洩(2017年)
| 項目 | 内容 |
| 発生日時 | 2017年3月7日~3月15日 |
| 流出件数 | 約154,599件の個人情報、約32,187件のクレジットカード情報 |
| 不正利用件数・額 | 197件、合計約630万円 |
| 決算への影響 | 2018年3月期に営業利益が約12.25億円(前年同期比31.5%減)に落ち込み、原因として「セキュリティ強化費用」などが明記されている |
引用
・ぴあ社がプラットフォームを提供する B.LEAGUE チケットサイト、及びファンクラブ受付サイトへの 不正アクセスによる、個人情報流出に関するお詫びとご報告
ランサムウェア感染による業務停止
システムが暗号化され、業務が完全に停止。復旧に時間がかかり、ビジネス機会を損失。
実例:大阪急性期・総合医療センターへのランサムウェア攻撃(2022年)
| 項目 | 内容 |
| 発生時期 | 2022年10月31日 |
| 被害範囲 | 電子カルテ含む約1,300台のサーバ・端末が暗号化 |
| 復旧期間 | 約73日間 |
| 損害総額 | システム復旧費:1億円超 逸失利益:10億円超 合計:数十億円規模 |
引用:インシデント調査報告書について|大阪急性期・総合医療センター
内部不正による情報持ち出し
悪意のある従業員が機密情報を持ち出し、競合他社に渡したり、売却したりする。
実例:株式会社ベネッセコーポレーションの個人情報流出(2014)
| 項目 | 内容 |
| 発生時期 | 2014年7月 |
| 流出件数 | 約2,895万件の個人情報(氏名、住所、電話番号など) |
| 原因 | 委託先企業(グループ会社)に勤務していた元派遣社員による不正持ち出し・名簿業者への売却 |
| 補償内容 | 顧客へのお詫び金(500円分の金券)を中心とした対応 |
| 損害額 | 情報セキュリティ対策費として約260億3,900万円を特別損失として計上 (出典:マイナビニュース、2014年8月1日) |
引用:
・マイナビニュース「ベネッセ、260億円の特別損失を計上」2014年8月1日
システム障害によるサービス停止
ハードウェア故障や設定ミスによりシステムがダウンし、サービス提供が不可能になる。
事例:LINE株式会社のシステム障害(2015年)
| 項目 | 内容 |
| 発生時期 | 2015年4月2日 |
| サービス停止時間 | 1時間8分 |
| 影響利用者数 | 最大約5,200万人 |
| 障害内容 | LINE株式会社が提供する無料音声通話サービス及びLINEメッセージサービスが利用できない状況が発生した。 |
| 原因 | ・社内ネットワークの設定変更に際し、人為的な作業ミスにより誤った経路情報が登録されたため、インターネット向け通信が機能しない状態となり、サービスが停止した。 ・データの巻き戻しを実施したが、ネットワーク機器の高負荷状態が続いたため、設定反映が遅延した。 |
引用:平成 27 年度電気通信事故 に関する検証報告|総務省
しかし、リスクアセスメントを適切に実施することで、これらのリスクを事前に特定し、最適な対策を講じることが可能になります。
具体的には、
- サイバー攻撃や内部不正による情報漏洩の「防止」
リスクを事前に特定し、適切な技術的・組織的対策を講じることで、情報漏洩の発生確率を低減します。 - 業務停止や風評被害といった深刻な影響の「回避」
事業継続計画(BCP)の策定や、インシデント対応体制の整備により、万が一の事態が発生した場合でも、影響を最小限に抑えられます。 - 取引先や顧客からの信頼の「維持」
セキュリティ対策に積極的に取り組む姿勢を示すことで、取引先や顧客からの信頼を獲得し、ビジネスチャンスの拡大にもつながります。
情報セキュリティリスクアセスメントは、現代のビジネスにおいて「企業の存続」を左右する、まさに「情報セキュリティ対策の出発点」だと言えます。
3.情報セキュリティリスクアセスメントの進め方
ここでは、情報セキュリティリスクアセスメントを具体的なステップに分けて解説します。
以下の手順に沿って進めることで、誰でも実践できるようになります。
【準備するもの】
情報セキュリティリスクアセスメントを進めるにあたり、以下の「情報リスクアセスメント_雛形」のExcelファイルをダウンロードしてご活用ください。
このExcelファイルを使って、各ステップで洗い出した情報を記録していきましょう。
3-1 情報資産の洗い出し
リスクアセスメントの最初のステップは、「何を守るのか」を明確にすることです。自社が保有・管理するすべての情報資産を漏れなく洗い出しましょう。
情報資産とは?
情報資産とは、企業活動において価値を持つ情報や、その情報を扱うためのシステム・設備全般を指します。
| 資産の種類 | 具体例 | ポイント |
| データ | 顧客データ(氏名、住所、連絡先など)、従業員データ(給与、人事情報など)、営業秘密(製品設計図、開発コード、販売戦略など)、会計データ、契約書、メールデータなど | 紙媒体で保存されているものも忘れずに含めましょう。バックアップデータも資産に該当します。 |
| ハードウェア | 業務用PC、サーバー、ネットワーク機器(ルーター、スイッチ)、スマートフォン、タブレット、プリンター、USBメモリ、外部ストレージなど | 部署ごとに使用されている機器を把握しましょう。 |
| ソフトウェア | OS、業務アプリケーション(CRM、ERP)、会計ソフト、グループウェア、セキュリティソフト、Webサイトのシステムなど | ライセンス管理状況も確認しておきましょう。 |
| ネットワーク | 社内LAN、Wi-Fi環境、インターネット回線など | ネットワーク構成図があれば役立ちます。 |
| 設備 | サーバールーム、執務室、データセンター、施錠設備など | 物理的なセキュリティ対策の対象となります。 |
| 人 | 従業員、役員、派遣社員、アルバイトなど | 人的なミスや不正行為もリスクの源になります。 |
【実践ポイント】
- 部署ごと、業務プロセスごとにリストアップしていくと漏れが少なくなります。
- 「情報リスクアセスメント_雛形」Excelファイルの「情報資産一覧」シートにある「資産名」「資産種別」「保管場所/担当部署」の各列に、洗い出した情報資産を漏れなく入力していきます。
- さらに、「機密性」「完全性」「可用性」の列で、その情報資産の価値を「高」「中」「低」で評価します。例えば、顧客データは絶対に漏れてはいけない情報なので「情報資産の価値」の欄に「高」と入力(評価)します。
- 次に、それぞれの情報資産に対して、機密性・完全性・可用性が高いのか、低いのかを評価しましょう。それに応じて「高」「中」「低」で評価します。
- 機密性
- 許可された者だけが情報にアクセスできること。
- 完全性
- 情報が正確であり、改ざんや破壊がされていないこと。
- 可用性
- 必要なときに情報にアクセスできること。
3-2 想定される脅威と脆弱性を洗い出す
情報資産が洗い出せたら、次に「どのような脅威があるか」と「どこに弱点(脆弱性)があるか」を洗い出します。これらを結びつけることで、具体的なリスクが見えてきます。
脅威とは?
情報資産に損害を与える可能性のある事象のことです。
| 脅威の種類 | 具体例 |
| 意図的な脅威 | ウイルス感染、不正アクセス、マルウェア感染、ランサムウェア、DoS攻撃、フィッシング詐欺、内部不正(情報持ち出し、改ざん)、不正競争など |
| 偶発的な脅威 | 誤操作、紛失、盗難、機器の故障、ソフトウェアのバグ、設定ミスなど |
| 環境的な脅威 | 地震、火災、落雷、洪水などの自然災害、停電、通信障害など |
脆弱性とは?
情報資産やシステムが持つ弱点や欠陥のことで、脅威によって悪用される可能性があります。
| 脆弱性の種類 | 具体例 |
| 技術的脆弱性 | OSやアプリケーションのセキュリティパッチ未適用、不適切なパスワード設定、脆弱な暗号化、セキュリティソフトの未導入、古いシステムの使用、ネットワーク設定の不備など |
| 組織的脆弱性 | セキュリティポリシーの未策定、緊急時対応計画の不備、監視体制の不備、物理的セキュリティの甘さ(施錠不十分など)など |
| 人的脆弱性 | セキュリティ意識の低さ、ソーシャルエンジニアリングへの耐性の低さ、ヒューマンエラー(誤操作、誤送信など)など |
【実践ポイント】
洗い出した各情報資産に対して、「この資産にはどんな脅威が考えられるか?」「その脅威が悪用できるような弱点(脆弱性)はないか?」という視点で考えていきます。
情報資産一覧の「脅威」「脆弱性」「リスクの説明(具体例)」の列に記入します。
例:資産名:顧客データベース
脅威:不正アクセス
脆弱性: VPNの脆弱性
リスクの説明:VPN経由で外部から顧客データが不正に閲覧される可能性がある。
3-3 リスク評価
洗い出した脅威と脆弱性が結びついた結果としてのリスクについて、「発生可能性」と「影響度」をそれぞれ評価し、それらを掛け合わせて「リスクレベル」を算出します。
評価基準の例
| 評価項目 | 評価段階 | 説明 |
|---|---|---|
| 発生可能性 | 5:ほぼ確実に発生 | 過去に頻繁に発生している、対策がない限り確実に発生する |
| 4:発生可能性が高い | 発生する可能性が非常に高い、対策が不十分 | |
| 3:発生可能性がある | 発生する可能性が考えられる、対策はしているが完璧ではない | |
| 2:発生可能性が低い | 発生する可能性は低い、対策は十分に行われている | |
| 1:ほぼ発生しない | 発生する可能性は極めて低い、厳重な対策がされている | |
| 影響度 | 5:極めて重大 | 会社の存続に関わる、法的責任、社会的信用の失墜 |
| 4:重大 | 事業活動の継続に大きな支障、多額の損害、大規模な情報漏洩 | |
| 3:中程度 | 一部業務の停止、損害は発生するが復旧可能、限定的な情報漏洩 | |
| 2:軽微 | 軽微な業務支障、損害は小さい、個人情報以外の情報漏洩 | |
| 1:影響なし | ほとんど影響がない、復旧も容易 |
リスクレベルの算出方法:リスクレベル = 発生可能性 × 影響度
| リスクレベル | 評価 | 対応の優先度 |
| 15~25 | 極めて高い | 最優先で即時対応が必要 |
| 8~12 | 高い | 優先的に対応が必要 |
| 4~6 | 中程度 | 状況に応じて対応を検討 |
| 1~3 | 低い | 経過観察、または長期的な対応を検討 |
【実践ポイント】
- 情報資産一覧の「発生可能性(1-5)」と「影響度(1-5)」の列に、上記基準を参考に数値を入力します。
- 主観的な評価になりがちなので、複数の担当者で議論し、客観的な視点を取り入れることが重要です。過去のインシデント事例や業界の動向も参考にしましょう。
- 「現在の対策」と「現在の対策の有効性」の列も記入し、現状の対策状況を把握しておきましょう。
3-4 優先順位付け
すべてのリスクを一度に対処するのは現実的ではありません。情報資産一覧の「リスクレベル」を参考に、リスクが高いものから順に優先度を付けていきます。
【実践ポイント】
- 情報資産一覧の「リスクレベル」を降順に並べ替えます。
- リスクレベルが「極めて高い(15~25)」、「高い(8〜12)」と評価されたリスクから優先的に対応策を検討します。
- 情報資産一覧の「対応優先度」の列に、「最優先」「高」「中」「低」などを記入します。
- 現状の体制や予算、人員といったリソースも考慮しながら、現実的に対応可能な範囲で優先順位を決定します。
3-5 対応策の実行
優先順位に基づき、各リスクに対する「対策方針」を定め、具体的な施策に落とし込みます。
リスクへの対応策には、主に以下の4つの戦略があります。
①リスク回避:そのリスクが発生する可能性のある活動自体を行わない。
例:顧客データをクラウドに保存するリスクがあるため、オフラインでの管理に切り替える。
②リスク低減(対策):リスクの発生可能性や影響度を低減させるための対策を講じる。
例:
・技術的対策
多要素認証の導入、VPNの強化、最新のセキュリティパッチ適用、定期的な脆弱性診断、ファイアウォールの導入、EDR(Endpoint Detection and Response)の導入、データの暗号化、バックアップの自動化
・組織的対策
セキュリティポリシーの策定と周知、アクセス権限の見直し、定期的なパスワード変更の義務化、退職時の情報持ち出し防止策、委託先管理体制の強化
・物理的対策
入退室管理システムの導入、監視カメラの設置、施錠の徹底、重要書類の施錠保管
・人的対策
従業員への定期的なセキュリティ教育(標的型攻撃メール訓練、情報取扱いのルール)、インシデント発生時の対応訓練、内部監査の実施
③リスク移転:リスクを第三者に移す(保険に加入するなど)。
例:サイバー保険への加入、クラウドサービスの利用(ベンダーにセキュリティリスクの一部を移転)
④リスク受容:リスクレベルが低い、または対策コストが見合わないため、リスクを許容する。
ただし、許容したリスクについてもモニタリングは継続する。
【実践ポイント】
- 情報資産一覧の「対策方針」「具体的な対策」「担当者」「開始日」「完了予定日」「完了日」「進捗状況」の列を記入します。
- 対策は、「誰が」「何を」「いつまでに」行うのかを具体的に記述しましょう。例えば、「VPNの脆弱性」というリスクに対しては、「VPNへの多要素認証導入」「VPN機器のファームウェア更新」「脆弱性診断実施」といった具体的な対策が考えられます。対策を実行したら、その効果を定期的に見直し、セキュリティレベルが維持・向上しているかを確認することが重要です。
4.情報セキュリティリスクアセスメントに関するよくある質問
4-1 リスクアセスメントは継続的に実施すべきですか?
はい、リスクアセスメントは一度で終わらせず、定期的に見直すことが不可欠です。
情報セキュリティのリスクは、常に変化しています。
- 新たなサイバー攻撃手法の登場:常に新しいマルウェアや攻撃手法が開発されています。
- 業務環境の変化: 新規システムの導入、リモートワークの拡大、クラウドサービスの利用など、業務環境が変化すれば新たなリスクが発生します。
- 法規制の改正:個人情報保護法や各種ガイドラインの改正など、法的な要件も常に変化します。
これらを考慮し、例えば年に1回など定期的にアセスメントを実施する、または大規模なシステム変更や業務プロセスの変更があった際には都度実施するなど、自社の状況に合わせて適切な頻度で継続的に実施しましょう。形だけのチェックリスト運用ではなく、実態に即した継続的な改善が、会社のセキュリティを守る鍵となります。
4-2 リスクアセスメントをした後はどうすれば良いですか?
アセスメント結果は、ただ記録するだけでなく、以下の点を実践しましょう。
- 管理台帳やリスク一覧表への記録
「情報リスクアセスメント_雛形」Excelに記入した情報を、社内で共有可能な形で保管します。 - 関係者への共有
リスクの内容や対策方針を、経営層、各部署の担当者、システム管理者など、関係するすべての人と共有しましょう。専門用語を避け、分かりやすい言葉で説明することが大切です。 - 組織全体での取り組み
リスク対応は特定の部署任せにせず、組織全体で取り組む体制を構築することが重要です。経営層がセキュリティ対策の重要性を認識し、適切な予算やリソースを割り当てることも不可欠です。 - PDCAサイクルの実施
P (Plan):リスクアセスメントで対策を計画する
D (Do):計画した対策を実行する
C (Check):対策の効果を評価し、リスクが低減されているかを確認する
A (Act):評価結果に基づいて改善策を検討し、次の計画に反映する
このPDCAサイクルを回し続けることで、会社の情報セキュリティレベルは継続的に向上し、変化する脅威にも柔軟に対応できるようになります。
5.まとめ
本記事では「情報セキュリティ リスクアセスメント」について解説しました。
要点をまとめておきましょう。
情報セキュリティ リスクアセスメントとは、情報資産におけるリスクの所在、重大さ、発生しやすさを評価し、優先的に対策すべきポイントを明らかにする作業です。
その重要性として、以下を解説しました。
- 被害が起こる前にリスクを発見し対策できる「先手の備え」
- サイバー攻撃や内部不正による情報漏えいの防止
- 業務停止や風評被害の回避、取引先・顧客からの信頼維持
情報セキュリティ リスクアセスメントの進め方については、以下のステップを紹介しました。
- 情報資産の洗い出し:自社が保有・管理する情報資産を明確にする
- 想定される脅威と脆弱性を洗い出す:各資産に対する脅威と弱点を特定する
- リスク評価:「発生可能性」と「影響度」から「リスクレベル」を算出する
- 優先順位付け:リスクレベルの高い項目から対策の優先度を決める
- 対応策の実行:優先順位に基づき、対策方針を定め実行し、継続的に見直す
また、情報セキュリティ リスクアセスメントは一度きりではなく、攻撃手法や業務環境の変化に対応するため、継続的に実施し、結果を関係者と共有することが重要であると解説しました。
本記事を参考に、情報セキュリティ リスクアセスメントの全体像を把握し、自社の情報資産を守るための効果的なセキュリティ対策を進めていただければ幸いです。
ISO/Pマークの認証・運用更新を180時間も削減!
認証率100%の認証パートナーが無料問い合わせを受付中!
認証パートナーは8,000社を超える企業様の認証を支援し、認証率100%を継続してきました。
経験豊富なコンサルタントの知見を活かし、お客様のISO/Pマーク認証・運用更新にかかる作業時間を約90%削減し、日常業務(本業)にしっかり専念することができるようサポートします。
▼認証パートナーが削減できること(一例)- マニュアルの作成・見直し:30時間→0.5時間
- 内部監査の計画・実施:20時間→2時間
- 審査資料の準備:20時間→0.5時間
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
ISO・Pマーク(プライバシーマーク)の認証・更新も安心
認証率100% ✕ 運用の手間を180時間カット!
信頼の「認証パートナー」が無料相談を受付中!
一目でわかる
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
当社サービスの概要を紹介しております。
資料の内容
- ・一目でわかる『費用』
- ・一目でわかる『取得スケジュール』
- ・一目でわかる『サポート内容』
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ
- © 2022 Three A Consulting Co., Ltd.